1. 管理者ガイド
  2. Oracle Audit Vault and Database Firewallの開始
  3. Database Firewallの構成

5 Database Firewallの構成

Database Firewallの構成について学習します。

Database Firewallを使用して、トラフィック・ソースおよびプロキシを構成できます。

5.1 Database Firewallの構成について

Database Firewallの構成方法を学習します。

各Database Firewallのシステム設定およびファイアウォール設定を構成する方法は、Oracle Audit Vault and Database Firewallのデプロイの全体的な計画によって異なります。

ファイアウォール・インスタンスを構成するときに、特定のファイアウォールを管理するAudit Vault Serverを指定します。Oracle Audit Vault and Database Firewallシステム構成の全体的な計画に応じて、トラフィック・ソースの構成とデプロイメント・タイプの指定も行います。Database Firewallのデプロイメント・タイプは次のとおりです。

  • モニタリング(帯域外)
  • モニタリング(ホスト監視)
  • モニタリング/ブロック(プロキシ)

ノート:

  • Audit Vault ServerおよびDatabase Firewallサーバーは、ソフトウェア・アプライアンスです。Oracleの公式ドキュメントまたはOracleサポートから指示があった場合を除き、これらのサーバーでは、コマンドラインからLinuxオペレーティング・システムを変更しないでください。
  • Database Firewallは、1秒当たり10万トランザクションを処理し、SQL文ごとに100マイクロ秒未満の最小限の待機時間オーバーヘッドが発生します。これは内部パフォーマンス・テストに基づいています。
  • Database FirewallからAudit Vault Serverへのトラフィックは、使用可能なリソースと設計制限を考慮した上で可能なかぎり迅速に転送されます。ターゲット・データベースに監査レコードが記録される時点とAudit Vault Serverに格納される時点の間には、常にわずかなギャップがあります。

基本的なファイアウォール構成は、次の4つのステップで構成されます。

  1. Audit Vault Serverの証明書およびIPアドレスの指定

  2. Oracle Database Firewallのネットワークおよびサービス構成の管理

  3. Database Firewallでの日付と時刻の設定

  4. ネットワーク上のDatabase Firewallおよびそのトラフィック・ソースの構成

Database Firewallを構成したら、次のタスクを実行します。

  • データベース・ターゲットごとにDatabase Firewallモニタリング・ポイントを構成します。

  • オプションで、高可用性環境用にDatabase Firewallの回復可能なペアを設定できます。

関連項目:

5.2 Database Firewallデプロイメントの概要

運用上のニーズに応じて、SQLトラフィックのみを監視することも、ターゲット・データベースへのSQLトラフィックを監視してブロックすることもできます。

Database Firewallの構成時には、次のいずれかのデプロイメント・モードを選択できます。

デプロイメント・モード ネットワーク・インタフェース・カード(NIC)の最小数 使用上のノート
モニタリング/ブロック(プロキシ)

3 (ネットワーク分離を使用するデプロイメント用)

1 (ネットワーク分離を使用しないデプロイメント用)

 このモードでは、Database FirewallはSQLトラフィックの監視とブロックの両方に加え、SQL文を必要に応じて置換できます。クライアントはデータベースのかわりにDatabase Firewallに接続するように構成し、ファイアウォールがすべてのSQLトラフィックを捕捉して定義したポリシーに基づいて必要なアクションを実行できるようにします。
モニタリング(ホスト監視) 1 このモードを使用する場合は、ターゲット・データベースを実行しているホスト・マシンにAudit Vault Agentとホスト・モニター・エージェントをインストールします。ホスト・モニター・エージェントは、ホスト・マシンのNICからトラフィックを取得して、そのトラフィックを安全にDatabase Firewallに転送します。
モニタリング(帯域外) 2 このモードでは、Database FirewallはSQLトラフィックを監視してアラートを生成しますが、SQL文のブロックや置換はできません。Database Firewallにデータベース・トラフィックをコピーするために、SPANポートが備わったスイッチ(図を参照)、ネットワーク・タップ、パケット・レプリケータなどのようなテクノロジを使用できます。

1つのDatabase Firewallで、異なるモードでデプロイされた複数のターゲットからのトラフィックを監視できます。たとえば、あるDatabase Firewallは、一部のターゲットにはモニタリング/ブロッキング(プロキシ)モードでデプロイし、その他のターゲットにはモニタリング(ホスト監視)モードとモニタリング(帯域外)モードでデプロイすることもできます。

ノート:

  • クライアントとデータベースが同じサブネット上にある場合は、単一のNICが必要になります。ネットワークの分離はありません。
  • クライアントとデータベースが異なるサブネットワーク上にある場合は、追加のNICが必要になります。
  • 3つのNICがある場合、ネットワーク分離には、通常はデフォルト・ゲートウェイに接続される管理ネットワーク・インタフェースが必要になります。最初のNICはクライアント・サブネットに配置されます。2つ目のNICは、データベース・サブネットに配置されます。この構成に追加のルーティングは必要ありません。クライアントおよびデータベースのアドレスは、すべて、Database Firewall NICからアクセス可能なネットワークに対してローカルです。

5.2.1 モニタリング/ブロック(プロキシ)

モニタリング/ブロック(プロキシ)モードでは、Database FirewallはSQLトラフィックの監視とブロックの両方に加え、SQL文を必要に応じて置換できます。

クライアントはデータベースのかわりにDatabase Firewallに接続するように構成し、ファイアウォールがすべてのSQLトラフィックを捕捉して定義したポリシーに基づいて必要なアクションを実行できるようにします。どのような場合でも、データベース・サーバーはDatabase Firewallをクライアントとして識別します。

Database Firewallからではない接続をすべて拒否するようにデータベースを構成することをお薦めします。

ノート:

アプリケーションがDatabase Firewallプロキシ・モードのデプロイメントに接続するために必要な変更を簡単にするために、ターゲット・データベースの完全修飾ドメイン名(FQDN)がDatabase FirewallのIPアドレスに解決されるように、ローカル・ドメイン・ネーム・サーバー(DNS)を構成します。

モニタリング/ブロック(プロキシ)モードは、次の方法でデプロイできます:

  • ネットワーク分離を使用しないプロキシ
  • 専用のネットワーク・インタフェース・カード(NIC)を使用するネットワーク分離なしのプロキシ
  • ネットワーク分離を使用するプロキシ

ネットワーク分離を使用しないプロキシ

dbfw-proxy-network-separation.pngの説明が続きます
図dbfw-proxy-network-separation.pngの説明

ネットワーク分離なしのプロキシとしてDatabase Firewallをデプロイするときには、Database FirewallにDatabase Firewall管理インタフェースと呼ばれる1つのNICを用意して、これにより、クライアントとデータベースの間のすべての通信に加えて、Database FirewallとAudit Vault Serverの間のすべての通信を処理します。このNICは管理サブネットにデプロイします。

この図の例には、3つのサブネットがあります:

  • 管理サブネットには、Audit Vault Server、Database Firewall、Database Firewall管理インタフェースおよびスイッチが含まれています。
  • クライアント・サブネットには、3つのクライアントと1つのスイッチが含まれています。
  • データベース・サブネットには、3つのデータベース、3つのクライアントおよび1つのスイッチが含まれています。

次の文字のコールアウトでは、図のDatabase Firewallとの間のトラフィック・フローについて説明します:

  • A: クライアント・サブネットでは、クライアントからのトラフィックは、スイッチ経由でネットワーク・ルーターに移動します。ルーターは、トラフィックを管理サブネット内のスイッチに送信し、そのスイッチはトラフィックをDatabase Firewallトラフィック管理インタフェースに転送します。そこから、トラフィックはデータベース・サブネット内のスイッチ経由でデータベースに移動します。データベース・レスポンスは、同じパスを通じてクライアントに戻されます。
  • B: データベース・サブネットでは、クライアントからのトラフィックは、データベース・サブネット内のスイッチ経由で管理サブネット内のDatabase Firewallトラフィック管理インタフェースに移動します。そこから、トラフィックはデータベース・サブネット内のスイッチ経由でデータベースに移動します。データベース・レスポンスは、同じパスを通じてクライアントに戻されます。
  • C: Database Firewallは、クライアント・トラフィックからSQLデータを抽出して分析し、Database Firewallポリシーに基づいて、Database Firewall管理インタフェース経由で管理サブネット内のスイッチに送信してからAudit Vault Serverに送信します。

プロキシ・サービス専用のNICを使用するネットワーク分離を使用しないプロキシ

dbfw-proxy-network-separation-using-dedicated-nic.pngの説明が続きます
図dbfw-proxy-network-separation-using-dedicated-nic.pngの説明

専用のNICを使用するネットワーク分離なしのプロキシとしてDatabase Firewallをデプロイするときには、Database Firewallに2つのNICを用意します:

  • Database Firewallトラフィック・プロキシは、すべてのクライアントからデータベースへのトラフィックを処理します。このNICはデータベース・サブネットにデプロイします。
  • Database Firewall管理インタフェースは、Database FirewallとAudit Vault Serverの間の通信を処理します。このNICは管理サブネットにデプロイします。

この図の例には、3つのサブネットがあります:

  • 管理サブネットには、Audit Vault Server、Database Firewall、Database Firewall管理インタフェースおよびスイッチが含まれています。
  • クライアント・サブネットには、3つのクライアントと1つのスイッチが含まれています。
  • データベース・サブネットには、3つのデータベース、3つのクライアント、1つのスイッチおよびDatabase Firewallトラフィック・プロキシが含まれています。

次の文字のコールアウトでは、図のDatabase Firewallとの間のトラフィック・フローについて説明します:

  • A: クライアント・サブネットでは、クライアントからのトラフィックは、スイッチ経由でネットワーク・ルーターに移動します。ルーターは、トラフィックを管理サブネット内のスイッチに送信し、そのスイッチはトラフィックをデータベース・サブネット内のDatabase Firewallトラフィック・プロキシに転送します。そこから、トラフィックはデータベース・サブネット内のスイッチ経由でデータベースに移動します。データベース・レスポンスは、同じパスを通じてクライアントに戻されます。
  • B: データベース・サブネットでは、クライアントからのトラフィックは、データベース・サブネット内のスイッチ経由でデータベース・サブネット内のDatabase Firewallトラフィック・プロキシに移動します。そこから、トラフィックはデータベース・サブネット内のスイッチ経由でデータベースに移動します。データベース・レスポンスは、同じパスを通じてクライアントに戻されます。
  • C: Database Firewallは、クライアント・トラフィックからSQLデータを抽出して分析し、Database Firewallポリシーに基づいて、Database Firewall管理インタフェース経由で管理サブネット内のスイッチに送信してからAudit Vault Serverに送信します。

ネットワーク分離を使用するプロキシ

dbfw-proxy-network-separation1.pngの説明が続きます
図dbfw-proxy-network-separation1.pngの説明

ネットワーク分離を使用するプロキシとしてDatabase Firewallをデプロイするときには、Database Firewallに最小で3つのNICを用意します:

  • それぞれのクライアント・サブネットには、そのサブネット内のクライアントとの間のすべてのトラフィックを処理するDatabase Firewall NICがあります。
  • データベース・サブネットには、データベースへのすべてのトラフィックに加えて、データベース・サブネット内のクライアントからのトラフィックを処理するDatabase Firewall NICがあります。
  • Database Firewall管理インタフェースは、Database FirewallとAudit Vault Serverの間の通信を処理します。このNICは管理サブネットにデプロイします。

この図の例には、3つのサブネットがあります:

  • 管理サブネットには、Audit Vault Server、Database Firewall、Database Firewall管理インタフェースおよびスイッチが含まれています。
  • クライアント・サブネットには、3つのクライアント、1つのスイッチおよびDatabase Firewall NICが含まれています。
  • データベース・サブネットには、3つのデータベース、3つのクライアント、1つのスイッチと1つのDatabase Firewall NICが含まれています。

次の文字のコールアウトでは、図のDatabase Firewallとの間のトラフィック・フローについて説明します:

  • A: クライアント・サブネットでは、クライアントからのトラフィックは、クライアント・サブネット内のDatabase Firewall NICへのスイッチ経由でネットワーク・ルーターに移動します。ルーターは、トラフィックを管理サブネット内のスイッチに送信し、そのスイッチはトラフィックをDatabase Firewallに転送します。そこから、トラフィックはデータベース・サブネット内のスイッチとNICを経由してデータベースに移動します。データベース・レスポンスは、同じパスを通じてクライアントに戻されます。
  • B: データベース・サブネットでは、クライアントからのトラフィックは、データベース・サブネット内のスイッチ経由でデータベース・サブネット内のDatabase Firewall NICに移動します。そこから、トラフィックはデータベース・サブネット内のスイッチ経由でデータベースに移動します。データベース・レスポンスは、同じパスを通じてクライアントに戻されます。
  • C: Database Firewallは、クライアント・トラフィックからSQLデータを抽出して分析し、Database Firewallポリシーに基づいて、Database Firewall管理インタフェース経由で管理サブネット内のスイッチに送信してからAudit Vault Serverに送信します。

5.2.2 モニタリング(ホスト監視)

モニタリング(ホスト監視)モードでは、Database FirewallはSQLトラフィックを監視してアラートを生成しますが、SQL文のブロックや置換はできません。

モニタリング(ホスト監視)を使用する場合は、ターゲット・データベースを実行しているホスト・マシンにAudit Vault Agentとホスト・モニター・エージェントをインストールします。ホスト・モニター・エージェントは、ホスト・マシンのネットワーク・カード(NIC)からトラフィックを取得して、そのトラフィックを安全にDatabase Firewallに転送します。

ノート:

Oracle AVDF 20.3以降、Database Firewallの任意のNIC (IPアドレス構成済)をモニタリング・ポイントに追加できます。「ホスト・モニター・エージェント用のモニタリング・ポイントの作成」を参照してください。

モニタリング(ホスト監視)モードは、ネットワーク・トポロジが他のDatabase Firewallモードのデプロイの障害になっている場合に役立ちます。ホスト監視では関連するトラフィックのみを取得しますが、モニタリング(帯域外)モードではすべてのネットワーク・トラフィックを取得します。モニタリング(ホスト監視)モードでは、クライアントからデータベース・ホストへのネットワーク・パスが複数あるときには、データベース・サーバーにデプロイされたホスト・モニター・エージェントを使用してSQLトラフィックを監視できます。

dbfw-monitoring-host-monitor.pngの説明が続きます
図dbfw-monitoring-host-monitor.pngの説明

図の例には、クライアント、データベースおよび管理の3つのサブネットがあります。クライアント・サブネットには、クライアント・サブネット内のスイッチ経由でネットワーク・ルーターに接続する3つのクライアントが含まれています。データベース・サブネットには、3つのデータベースと3つのホスト・モニター・エージェントが含まれています。ホスト・モニター・エージェントは、データベース・サブネットのスイッチ経由でDatabase Firewallに接続しています。データベース・サブネットには、データベース・サブネット内の2番目のスイッチに接続する3つのクライアントも含まれています。そのスイッチは、データベースとネットワーク・ルーターに接続しています。管理サブネットには、Database FirewallとAudit Vault Serverが含まれていて、それらは管理サブネットのスイッチを通じて相互に接続しています。

次のポイントについては、図の文字コールアウトを参照してください:

  • A: クライアント・サブネット内のクライアントは、ネットワーク・ルーターとデータベース・サブネット内のスイッチを通じてデータベースに直接接続しています。
  • B: データベース・サブネット内のクライアントは、データベース・サブネット内のスイッチを通じてデータベースに直接接続しています。
  • C: ホスト・モニター・エージェントは、クライアントとデータベースの間のトラフィックを記録して、データベース・サブネット内のスイッチを通じてDatabase Firewallにトラフィックを転送します。
  • D: Database Firewallは、クライアント・トラフィックからSQLデータを抽出して分析し、Database Firewallポリシーに基づいて、管理サブネット内のスイッチ経由でAudit Vault Serverに送信します。

5.2.3 モニタリング(帯域外)

モニタリング(帯域外)モードでは、Database FirewallはSQLトラフィックを監視してアラートを生成しますが、SQL文のブロックや置換はできません。

Database Firewallにデータベース・トラフィックをコピーするために、複数のテクノロジを使用できます。これには、SPANポート、ネットワーク・タップ、パケット・レプリケータなどが含まれます。

モニタリング(帯域外)モードは、非ブロッキング・ポリシー要件の全体で最も単純なデプロイメント・モードです。データベースでもクライアントでも、負荷が増えることはありません。Database Firewallによる、レイテンシや単一障害点は発生しません。

Oracle Audit Vault and Database Firewall (Oracle AVDF)は、このデプロイメント・モードでの高可用性をサポートします。

dbfw-monitoring-band.pngの説明が続きます
図dbfw-monitoring-band.pngの説明

図の例には、クライアント、データベースおよび管理の3つのサブネットがあります。クライアント・サブネットには、クライアント・サブネット内のスイッチ経由でネットワーク・ルーターに接続する3つのクライアントが含まれています。データベース・サブネットには、3つのデータベースが含まれています。それらは、データベース・サブネット内のSPANポートを備えたスイッチとDatabase Firewall NICによってDatabase Firewallに直接接続しています。データベース・サブネットには、3つのクライアントも含まれていて、ネットワーク・ルーターとともにSPANポートを備えた同じスイッチに接続しています。管理サブネットには、Database FirewallとAudit Vault Serverが含まれていて、それらは管理サブネットのスイッチを通じて相互に接続しています。

次のポイントについては、図の文字コールアウトを参照してください:

  • A: クライアント・サブネット内のクライアントは、ネットワーク・ルーターとデータベース・サブネット内のSPANポートを備えたスイッチを通じてデータベースに直接接続しています。
  • B: データベース・サブネット内のクライアントは、データベース・サブネット内のSPANポートを備えたスイッチを通じてデータベースに直接接続しています。
  • C: Database Firewallは、データベース・サブネット内のスイッチのSPANポートに接続しているDatabase Firewall NICを通じてデータベース・アクティビティを監視します。
  • D: Database Firewallは、クライアント・トラフィックからSQLデータを抽出して分析し、Database Firewallポリシーに基づいて、管理サブネット内のスイッチ経由でAudit Vault Serverに送信します。

5.3 Audit Vault Serverの証明書およびIPアドレスの指定

Audit Vault Serverでファイアウォールを管理できるように、各Database FirewallとAudit Vault Serverを関連付けます。高可用性のためにAudit Vault Serverの回復可能なペアを使用している場合は、ファイアウォールを両方のサーバーに関連付けます。

ノート:

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. Audit Vault Serverの証明書およびIPアドレスを検索してコピーします。
    高可用性環境のスタンドアロンAudit Vault ServerまたはプライマリAudit Vault Serverの場合:
    1. 「設定」タブをクリックします。
    2. 左側のナビゲーション・メニューで「セキュリティ」をクリックします。
    3. メイン・ページで「証明書」タブをクリックしてから、「サーバー証明書」をクリックします。
    4. 証明書をコピーします。
    高可用性環境のスタンバイAudit Vault Serverの場合:
    1. 「設定」タブをクリックします。
    2. 左側のナビゲーション・メニューで「システム」をクリックします。
    3. 「構成」セクションで、「高可用性」をクリックします。
    4. スタンバイ・サーバー証明書およびIPアドレスをコピーします。
  3. SSHを使用してDatabase Firewallにログインし、rootユーザーに切り替えます。
  4. Audit Vault Serverのサーバーの証明書をDatabase Firewallサーバー上のファイルにコピーします。
  5. 次のコマンドを実行して、プライマリまたはスタンバイAudit Vault ServerをDatabase Firewallに関連付けます。
    タスク コマンド
    Database FirewallとペアになるAudit Vault Serverを表示する 
    /opt/avdf/config-utils/bin/config-avs show
    Database FirewallのプライマリAudit Vault Serverを追加または更新する 
    /opt/avdf/config-utils/bin/config-avs set avs=primary address=<Ip address of the primary AVS> certificate=<Path of the certificate>
    Database FirewallのスタンバイAudit Vault Serverを追加または更新する 
    /opt/avdf/config-utils/bin/config-avs set avs=secondary address=<Ip address of the standby AVS> certificate=<Path of the certificate>
  6. 次のコマンドを実行して、Database FirewallサーバーとAudit Vault Serverのシステム・クロックを同期します。
    /opt/avdf/config-utils/bin/config-ntp set servers=<Comma separated IP addresses or hostnames of NTP servers> sync_on_save=true enabled=true

    このコマンドの詳細は、「CONFIG-NTP」を参照してください。

    ノート:

    Audit Vault Serverコンソールを使用して同じ手順を実行するには、「Database Firewallでの日付と時刻の設定」を参照してください。

プライマリまたはスタンバイAudit Vault ServerをDatabase Firewallから削除するには、次のコマンドを使用します。

タスク コマンド
Database FirewallからプライマリAudit Vault Serverを削除する 
/opt/avdf/config-utils/bin/config-avs delete avs=primary
Database FirewallからスタンバイAudit Vault Serverを削除する 
/opt/avdf/config-utils/bin/config-avs delete avs=secondary

5.4 Oracle Database Firewallのネットワークおよびサービス構成の管理

Oracle Database Firewallのネットワークおよびサービス構成を管理する方法を学習します。

5.4.1 Oracle Database Firewallのネットワーク設定の構成

Oracle Database Firewallのネットワーク設定を構成する方法を学習します。

インストーラにより、インストール時にDatabase Firewallの初期ネットワーク設定が構成されます。このネットワーク設定は、インストール後に変更できます。

Database Firewallのネットワーク設定を変更するには:

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「Database Firewall」タブをクリックします。
  3. ネットワーク設定を構成または変更する必要がある特定のDatabase Firewallインスタンスをクリックします。
  4. メイン・ページの「構成」セクションにある「ネットワーク設定」リンクをクリックします。
  5. Oracle AVDF 20.12以降は、「NICの同期」ボタンが無効になっている場合、次のステップに進みます。「NICの同期」がアクティブな場合は、同期する必要があるDatabase FirewallでNIC名の変更がAVSによって検出されるため、これをクリックします。
    1. すべてのデバイスのDatabase FirewallでNIC名を選択します。デバイスがDatabase Firewallで使用できなくなり、AVSで不要になった場合は、「不要」を選択します。
    2. 各デバイスをマッピングした後、「保存」を選択します。
  6. 「ネットワーク設定」ダイアログで、特定のネットワーク・インタフェースをクリックします。
  7. 「ネットワーク・インタフェース設定」ダイアログで、必要に応じて次のフィールドに入力します。

    • IPアドレス: ネットワーク・インタフェースのIPアドレス。別のアドレスを使用する場合は、ここで変更できます。IPアドレスは静的で、ネットワーク管理者から取得する必要があります。

      Database Firewallと同じIPアドレスを持つネットワーク・インタフェースは、管理インタフェースです。管理インタフェースのIPアドレスを変更すると、Database FirewallのIPアドレスも変更されます。「ネットワーク・インタフェース設定」ダイアログで、管理インタフェースのIPアドレスを変更してから、Database Firewallの詳細ページでIPアドレスを変更します。

    • ネットワーク・マスク: Database Firewallのサブネット・マスク。別のネットワーク・マスクを使用する場合は、ここで変更できます。

    • ゲートウェイ: デフォルト・ゲートウェイのIPアドレス(たとえば、インターネット・アクセス用)。デフォルトのゲートウェイは、ホストと同じサブネット上にある必要があります。これはオプションです。

  8. 「保存」をクリックします。

    ノート:

    管理インタフェースのIPアドレスの変更中に、次のエラーが発生する場合があります。これは無視して構いません。必要なアクションはありません。

    操作に失敗しました。OAV-46981: IPでデータベース・ファイアウォールに接続できません

5.4.2 Oracle Database Firewallのネットワーク・サービスの構成

Oracle Database Firewallのネットワーク・サービスの構成について学習します。

ネットワーク・サービスの構成により、管理者がOracle Database Firewallにアクセスできる方法が決定されます。データを保護するためのガイドラインを参照して、ネットワーク・サービスを構成するときに適切なセキュリティ措置を必ず講じてください。

Database Firewallのネットワーク・サービスを構成するには:

  1. Audit Vault Serverコンソールの「データベース・ファイアウォール」タブをクリックします。
  2. 左側のナビゲーション・メニューの「データベース・ファイアウォール」をクリックします。
  3. 特定のDatabase Firewallインスタンスをクリックします。
  4. 「構成」タブで、「システム・サービス」をクリックします。
  5. 「システム・サービス」ダイアログでは、次のオプションを使用できます。

    • DNS: ホスト名を変換する必要がある場合に、ネットワーク上の少なくとも1つのDNSサーバーのIPアドレスを入力します。ボタンをオンにし、最大3つのDNSサーバーのIPアドレスを入力します(DNS Server 1DNS Server 2およびDNS Server 3)。DNSサーバーがない場合は、ボタンをオフのままにします。そうしない場合、システムのパフォーマンスが低下する可能性があります。

      DNSを使用する場合は、そのサーバーが信頼できることを確認してください。DNSサーバーが使用できない場合、Database Firewallの多くのサービスは動作しません。たとえば、ブロックされるべきトラフィックがDatabase Firewallを通過する可能性があります。

    • SSH/SNMP: 選択したコンピュータにDatabase Firewallへのセキュア・シェル・アクセスを許可する場合は、「SSHアクセス」のボタンをオンにします。「すべて」を選択して無制限のアクセスを許可するか、「IPアドレス」をクリックして、IPアドレスをスペースまたはカンマで区切って入力できます。

      SSH設定は、コマンドライン・インタフェースを使用して構成することもできます。次のコマンドを使用して、同じ設定を行います。

      タスク コマンド

      SSHの現在の設定を表示する

      /opt/avdf/config-utils/bin/config-ssh show

      すべてのシステムから無制限にアクセスできるようにする

      /opt/avdf/config-utils/bin/config-ssh set access=all

      すべてのシステムからのSSHアクセスをブロックする

      /opt/avdf/config-utils/bin/config-ssh set access=disabled

      選択した1つのコンピュータにDatabase Firewallへのセキュア・シェル・アクセスを許可する

      /opt/avdf/config-utils/bin/config-ssh set access=192.0.2.11

      複数のコンピュータにDatabase Firewallへのセキュア・シェル・アクセスを許可する

      /opt/avdf/config-utils/bin/config-ssh set access='192.0.2.11 192.0.2.12'

    • SNMPアクセス: Database Firewallのネットワーク構成にSNMPを介してアクセスできるようにするには、「SNMPアクセス」のボタンをオンにします。「すべて」を選択して無制限のアクセスを許可するか、「IPアドレス」をクリックして、IPアドレスをスペースまたはカンマで区切って入力できます。

  6. 「保存」をクリックします。

    関連項目:

    データの保護

5.4.3 Oracle Audit Vault and Database FirewallでのSNMPv3ユーザーの構成

SNMPv3ユーザーを構成する方法を学習します。

Simple Network Management Protocolバージョン3 (SNMPv3)は、相互運用可能な標準ベースのプロトコルです。SNMPv3には、メッセージ・セキュリティのためのUser-based Security Model (USM)と、アクセス制御のためのView-based Access Control Model (VACM)が含まれています。USMを使用すると、SNMPマネージャとSNMPエージェント間で交換されるメッセージに対し、データ整合性チェックとデータ発信元認証を実施できます。Oracle Audit Vault and Database Firewall 20.1以降では、デフォルト・バージョンとしてSNMPv3がサポートされています。このトピックでは、SNMPv3のUSMモデルを利用するためのSNMPv3ユーザーの構成に必要なステップについて説明します。

SNMPv3ユーザーを作成するには、次のステップを実行します。

  1. Audit Vault ServerまたはDatabase Firewallインスタンスにrootユーザーとしてログインします。
  2. 次のコマンドを実行して、snmpdサービスをオフにします。
    systemctl stop snmpd
  3. 新しいSNMPユーザーを作成するには、次のコマンドを実行します。
    net-snmp-create-v3-user
  4. プロンプトに従って、ユーザー名とパスワード(またはパスフレーズ)を入力します。
  5. プロンプトに従って暗号化パスフレーズを入力します。暗号化に同じパスフレーズを使用する場合は、[Enter]キーを押して続行します。
  6. 次の出力により、ユーザーの作成が確認されます。

    adding the following line to /var/lib/net-snmp/snmpd.conf:

    createUser <user name> SHA <password> AES <encryption password>

    adding the following line to /etc/snmp/snmpd.conf:

    rwuser <user name>

    ノート:

    作成された新しいユーザーには、デフォルトで読取りおよび書込みアクセス権があります。これは、読取り専用権限に変更できます。これを行うには、/etc/snmp/snmpd.confで使用可能なファイルを変更します。 

    rouser <user name>

    構成ファイルで、rwuser <user name>が記述されている行またはエントリを見つけます。読取り専用アクセス用にエントリをrouser <user name>に変更します。

  7. ユーザーを作成したら、そのユーザーを既存のグループに割り当てることができます。または、新しいグループを作成してユーザーを割り当てることもできます。

    1. 新しく作成されたユーザーを既存のグループに割り当てるには、このステップを実行します。Oracle Audit Vault and Database Firewallでのデフォルトのグループ名はnotConfigGroupです。/etc/snmp/snmpd.confファイルを編集し、グループ作成表に次の行を含めます。UserName列の下に新規ユーザーのユーザー名が表示されていることを確認します。 

      
#      groupName     securityModel  userName
group notConfigGroup     usm         <user name>

      事前定義済グループにユーザーを追加する例は、次のとおりです。

      
#      groupName     securityModel  userName
group notConfigGroup     usm         myUser

    2. 新しく作成されたユーザーを新しいグループに割り当てるには、このステップを実行します。

      
#      groupName     securityModel  userName
group <new group name>     usm         <user name>

      新しいグループにユーザーを追加する例:

      
#      groupName     securityModel  userName
group newGroup     usm         myUser
  8. 次のコマンドを実行してsnmpdサービスを開始します。
    systemctl start snmpd
  9. 次のコマンドを実行して、SNMPv3ユーザーが作成され、グループに割り当てられていることをテストして確認します。

    ノート:

    次のsnmpwalkコマンドを実行するには、net-snmp-utilsパッケージをインストールします。これは、Audit Vault ServerまたはDatabase Firewallインストールの一部としてデフォルトではインストールされません。他の標準のSNMP問合せツールも使用できます。 

    snmpwalk -v3 -u <user name> -a SHA -A "<authentication password>" -x AES -X "<privacy password>" -l authPriv <IP address of the system> <standard SNMP MIB>

    たとえば:

    snmpwalk -v3 -u myUser -a SHA -A "myAuthPassword" -x AES -X "myPrivacyPassword" -l authPriv 192.0.2.24 system

5.5 Database Firewallでの日付と時刻の設定

Database Firewallで日付と時刻を設定する方法を学習します。

Database Firewallの日時を設定するには、この手順を使用します。

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. Audit Vault Serverコンソールのメイン・ページで「データベース・ファイアウォール」タブをクリックします。
  3. 左側のナビゲーション・メニューの「データベース・ファイアウォール」をクリックします。
  4. 特定のDatabase Firewallインスタンスをクリックします。
  5. 「構成」タブで、「システム・サービス」をクリックします。
  6. 「日付と時間」タブをクリックします。
  7. 「システム時間」フィールドで、協定世界時(UTC)の日付および時刻を選択します。
  8. オプションでNTP同期を有効化できます。「NTPサーバー1」に対してボタンをオンにして、フィールドにNTPサーバー・アドレスを入力できます。1つから最大3つのNTPサーバー・アドレスを追加できます。

    これにより、「NTPサーバー1」「NTPサーバー2」および「NTPサーバー3」の各フィールド(IPアドレスまたは名前が含まれる)で指定したタイム・サーバーからリカバリされる時刻の平均との時刻の同期が維持されます。名前を指定した場合、「DNS」タブで指定したDNSサーバーが名前解決に使用されます。

    時刻の同期を有効にするには、デフォルトのゲートウェイおよびDNSサーバーのIPアドレスも指定する必要があります。

    警告:

    モニタリング/ブロック・モードでは、時刻を変更すると、すべてのモニタリング・ポイントの再起動が発生し、保護対象データベースへの既存の接続が削除されます。これにより、直接時刻を入力した場合に、トラフィックの一時的な中断が発生します。

  9. 「保存」をクリックします。

    関連項目:

    デフォルトのゲートウェイおよびDNSサーバーのIPアドレスを指定するには、「Oracle Database Firewallのネットワークおよびサービス構成の管理」を参照してください。

5.6 Database Firewallサーバーの単一インスタンスでのIPアドレスの変更

Database Firewallサーバーの単一インスタンスでIPアドレスを変更する方法を学習します。

前提条件

  • Database FirewallサーバーのIPアドレスの変更はシステムレベルの変更であり、停止時間が必要なため、ログ収集処理の中断を回避するために、安全な期間中にIPアドレスを変更する計画を立ててください。
  • IPアドレスを変更する前に、モニタリング・ポイントをすべて停止します。「Database Firewallモニタリング・ポイントの開始、停止または削除」を参照してください。

Database FirewallサーバーのIPアドレスを変更するには:

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「Database Firewall」タブをクリックします。
    デフォルトでは、左側のナビゲーション・メニューの「データベース・ファイアウォール」が選択されています。
  3. データベース・ファイアウォール・インスタンスの名前をクリックします。

    ノート:

    Oracle AVDF 20.1では、ここで「IPアドレス」フィールドのIPアドレスを変更しないでください。残りのステップを実行します。
  4. 「構成」「ネットワーク設定」をクリックします。
  5. Oracle AVDF 20.12以降は、「NICの同期」ボタンが無効になっている場合、次のステップに進みます。「NICの同期」がアクティブな場合は、同期する必要があるDatabase FirewallでNIC名の変更がAVSによって検出されるため、これをクリックします。
    1. すべてのデバイスのDatabase FirewallでNIC名を選択します。デバイスがDatabase Firewallで使用できなくなり、AVSで不要になった場合は、「不要」を選択します。
    2. 各デバイスをマッピングした後、「保存」を選択します。
  6. 「ネットワーク・インタフェース・カード」列でネットワーク・インタフェースの名前をクリックします。
  7. 「ネットワーク・インタフェース設定」ダイアログで、必要に応じてIPアドレス、ゲートウェイまたはネットワーク・マスクを編集します。
  8. 「保存」「閉じる」の順にクリックします。ダイアログ・ボックスの右上隅にある「X」ボタンをクリックしないでください。

    ノート:

    Oracle AVDF 20.1では、管理インタフェースのIPアドレスを変更すると、次のエラーが発生する場合があります。

    操作に失敗しました。OAV-46981: IP <ipaddress>でデータベース・ファイアウォールに接続できません

    エラーを無視してウィンドウを閉じてください。IPアドレスは正常に変更されました。このエラーは、Oracle AVDF 20.2で修正されました。

    この変更は、Database Firewallですぐに有効になります。ただし、Database Firewallでネットワークが更新され、システムが落ち着くまでに数秒かかる場合があります。

    ノート:

    変更するIPアドレスが管理インタフェースに属し、現在のインストールがOracle AVDF 20.1である場合にのみ、残りのステップを続行します。次のステップは、Oracle AVDF 20.2以降では必要ありません。

    管理インタフェースのIPアドレスは、Audit Vault ServerコンソールでDatabase Firewallを登録するために使用されたDatabase FirewallのIPアドレスです。

  9. 「データベース・ファイアウォールの詳細」ページで、IPアドレスをDatabase Firewallの新しいIPアドレスで更新します。
    Database FirewallのIPアドレスが「ファイアウォール名」フィールドの横に表示されます。
  10. 「保存」をクリックします。
    メッセージ「ファイアウォールは正常に更新されました。」が表示されます。
  11. 変更の保存後に証明書の検証に失敗した場合は、Database Firewallの名前をクリックしてから「証明書の更新」をクリックします。

    「証明書の更新」ボタンは、エラーが検出された場合にのみ表示されます。

    証明書が更新されると、「データベース・ファイアウォール」タブが表示され、Database Firewallサーバーがオンラインになります。

  12. rootユーザーとして、Audit Vault Serverアプライアンスの/etc/hostsファイルのIPアドレスをDatabase Firewallの新しいIPアドレスに更新します。

ノート:

Database Firewallサーバーがオンラインに戻ると、オフライン中にダウンロードされなかったモニタリング・ポイントのログ・データのダウンロードが開始されます。

関連項目:

アクティブな登録済エージェントのIPアドレスの変更

5.7 Database Firewallのホスト名の変更

Database Firewallのホスト名を変更する方法を学習します。

Audit Vault Serverコンソールを使用してDatabase Firewallホスト名を変更するには:

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. Audit Vault Serverコンソールのメイン・ページで「データベース・ファイアウォール」タブをクリックします。左側のナビゲーション・メニューの「データベース・ファイアウォール」タブがデフォルトで選択されています。
  3. ホスト名の変更が必要な特定のデータベース・ファイアウォール・インスタンスの名前を見つけてクリックします。ファイアウォールの詳細ページが表示されます。
  4. メイン・ページで「ホスト名」を変更します。これは、Database Firewallがインストールされているホスト・マシンの名前です。
  5. 右上隅にある「作成」ボタンをクリックします。

5.8 ネットワーク上のDatabase Firewallおよびそのトラフィック・ソースの構成

ネットワーク上のDatabase Firewallおよびそのトラフィック・ソースの構成について学習します。

5.8.1 ネットワーク上のOracle Database Firewallおよびトラフィック・ソースの構成について

ネットワーク上のOracle Database Firewallおよびそのトラフィック・ソースの構成について学習します。

ネットワーク構成を計画する際に、Database Firewallのデプロイメント・タイプを決定する必要があります。Database Firewallのデプロイメント・タイプは次のとおりです。

  • モニタリング(帯域外)
  • モニタリング(ホスト監視)
  • モニタリング/ブロック(プロキシ)

また、ファイアウォールをトラフィック・プロキシとして使用することを決定する場合があります。Database Firewallの動作モードがモニタリング・モードでのみ動作するか、ブロック・モードも含まれるのかによって、ネットワーク構成が変わります。

ファイアウォールのトラフィック・ソースとプロキシ・ソースを使用して、そのファイアウォールで監視するターゲット・データベースごとにモニタリング・ポイントを構成します。

関連項目:

Database Firewallモニタリング・ポイントの構成

5.8.2 ネットワーク設定の構成

ネットワーク設定(トラフィック・ソース)の構成について説明します。

インストール・プロセスでは、管理インタフェースとも呼ばれるネットワーク・インタフェース・カード(NIC)に、IPアドレス、ネットワーク・マスクなどのネットワーク設定が適用されます。また、すべてのNICを検出してリストします。

管理インタフェースの設定を変更したり、使用できる別のNIC (トラフィック・ソースとして使用可能)を構成するには、次の手順を使用します。

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「Database Firewall」タブをクリックします。左側のナビゲーション・メニューの「データベース・ファイアウォール」タブがデフォルトで選択されています。
  3. プロキシとして構成する、特定のDatabase Firewallインスタンスをクリックします。特定のデータベース・ファイアウォール・インスタンスの詳細がメイン・ページに表示されます。
  4. 「構成」セクションで、「ネットワーク設定」をクリックします。

    「ネットワーク設定」ダイアログに、特定のDatabase Firewallインスタンスの現在のネットワーク設定、プロキシ・ポートおよびトラフィック・ソース(ネットワーク・インタフェース・カード)などの詳細がすべて表示されます。

  5. Oracle AVDF 20.12以降は、「NICの同期」ボタンが無効になっている場合、次のステップに進みます。「NICの同期」がアクティブな場合は、同期する必要があるDatabase FirewallでNIC名の変更がAVSによって検出されるため、これをクリックします。
    1. すべてのデバイスのDatabase FirewallでNIC名を選択します。デバイスがDatabase Firewallで使用できなくなり、AVSで不要になった場合は、「不要」を選択します。
    2. 各デバイスをマッピングした後、「保存」を選択します。
  6. IPアドレスまたはネットワーク・マスクを変更するには、「ネットワーク・インタフェース・カード」列で特定のネットワーク・インタフェース・カードをクリックします。
  7. 「ネットワーク・インタフェース設定」ダイアログで、必要に応じて「IPアドレス」「ネットワーク・マスク」または「ゲートウェイ」フィールドを編集します。「ネットワーク・インタフェース名」フィールドで、ネットワーク・インタフェース・カードにわかりやすい名前を指定することもできます。
  8. 「保存」をクリックします。

5.8.3 トラフィック・プロキシとしてのDatabase Firewallの構成

複数のポートを異なるプロキシ・モニタリング・ポイントとして使用するように指定できます。Database Firewallをトラフィック・プロキシとして設定すると、データベース・クライアントは、Database FirewallのプロキシIPアドレスおよびポートを使用してデータベースに接続します。

  1. Audit Vault Serverコンソールに管理者としてログインします。
  2. 「Database Firewall」タブをクリックします。

    デフォルトでは、左側のナビゲーション・メニューの「データベース・ファイアウォール」が選択されています。

  3. プロキシとして構成するDatabase Firewallインスタンスの名前をクリックします。
  4. 「構成」セクションで、「ネットワーク設定」をクリックします。
  5. Oracle AVDF 20.12以降は、「NICの同期」ボタンが無効になっている場合、次のステップに進みます。「NICの同期」がアクティブな場合は、同期する必要があるDatabase FirewallでNIC名の変更がAVSによって検出されるため、これをクリックします。
    1. すべてのデバイスのDatabase FirewallでNIC名を選択します。デバイスがDatabase Firewallで使用できなくなり、AVSで不要になった場合は、「不要」を選択します。
    2. 各デバイスをマッピングした後、「保存」を選択します。
  6. 「ネットワーク設定」ダイアログ・ボックスで、「ネットワーク・インタフェース・カード」列に示されているネットワーク・インタフェース・カードの名前をクリックします。
  7. 「ネットワーク・インタフェース設定」ダイアログ・ボックスで、「プロキシ・ポート」セクションの「追加」をクリックします。
  8. 名前およびポート番号を入力します。

    プロキシ・モード・ターゲットを指定するときには、IP:port:Oracleサービス名(OSN)で構成される1つのターゲット・アドレスを入力できます。OSNは空白のままにすることもできます。これは、指定したIP:portのすべてのOracleデータベース・サービスが処理されることを意味します。

    ノート:

    ターゲット・データベースで複数のOSNを監視する場合:
    • Oracle AVDF 20.1-20.9: OSNごとにプロキシ・ターゲットの構成が必要になります。これは、単一のプロキシ・ポートでは同じターゲット・データベースの複数のOSNにサービスを提供できないためです。必要に応じてトラフィック・プロキシ・ポートを追加します。
    • Oracle AVDF 20.10以降: 処理対象のターゲット・データベースの複数のOSNを1つのプロキシ・ポートを使用して指定できます。複数のOSNは、「|」文字で区切られたリストで指定します。例: target1|target2|target 3。
  9. (オプション)複数のプロキシ・ポートを指定するには、「追加」をクリックし、別のポート名と番号を入力します。
  10. 「保存」をクリックします。

  11. これで、トラフィック・プロキシがデータベース・ファイアウォールのモニタリング・ポイントで使用可能になりました。

    関連項目:

    Database Firewallモニタリング・ポイントの構成

5.9 Database Firewallのステータスおよび診断レポートの表示

Database Firewallのステータスおよび診断レポートを表示する方法を学習します。

Database Firewallのステータスまたは診断レポートを表示するには:

  1. Audit Vault Serverコンソールにログインします。
  2. 「Database Firewall」タブをクリックします。
  3. 診断を表示する必要がある特定のDatabase Firewallインスタンスの名前をクリックします。
  4. メイン・ページの「診断」セクションで、「診断のダウンロード」をクリックします。

    「診断のダウンロード」ダイアログが表示されます。

  5. ダイアログで次のいずれかのボタンを選択します。
    • 診断を実行する場合は、「診断の実行」を選択します。
    • すべての診断ファイルをダウンロードする場合は、「ダウンロード」を選択します。
    • 診断ログをクリアする場合は、「削除」を選択します。

5.10 診断レポート・ファイルの構成およびダウンロード

診断レポート・ファイルの構成およびダウンロードについて学習します。

この項では、CLIを使用して診断レポートを生成する方法を有効化、構成および変更するための情報について説明します。

ノート:

これらのタスクを実行するには、rootユーザー権限が必要となります。

診断レポートは、デフォルトでは有効になっていません。ユーザーは、診断レポートを取得する機能を有効にする必要があります。有効にしたら、診断レポートで取得する情報を構成する必要があります。診断レポートは、柔軟にカスタマイズおよびパッケージ化できます。

  1. SSHを使用してアプライアンスにログインし、rootユーザーに切り替えます。

    「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

  2. アプライアンスで次のコマンドを実行します:
    /usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --install
    診断パッケージが有効でない場合は、diagnostics-not-enabled.readmeファイルがダウンロードされます。
  3. パッケージのインストール後には、ユーティリティがアプライアンスに関する情報を収集できるように診断構成を変更する必要があります。すべての要素とファイルの収集は、次のようにすると有効にできます:
    /usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --enable ALL

    また、SOSレポートの収集は、次のようにすると有効にできます:

    /usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --enable SOS_REPORT
  4. ユーティリティのヘルプを表示することで、さらに別のオプションも使用できます。
    /usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --help
  5. 次のコマンドを実行して、アプライアンスに対して有効にした診断情報を取得します: 
    /usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb

    診断収集コマンドを実行すると、デフォルトでデプロイメント情報が収集されます。収集されるデプロイメント情報については、後続の表を参照してください。

    保存されたZipファイルの場所がコマンド実行の最後に表示されます。

  6. 診断の収集後には、次のコマンドでパッケージを削除します: 
    /usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --remove

表5-1 Audit Vault Server (AVS)でALLオプションを指定して実行した場合に診断ログに収集されるデプロイメント情報

デプロイメント情報 詳細
ターゲットの数とターゲットのタイプ タイプごとのターゲットの数
監査証跡のタイプ タイプごとの監査証跡の数
Database Firewall (DBFW)サーバーの数 DBFWサーバーの数(個別のサーバー)
高可用性(HA)構成 - AVS 「はい」または「いいえ」
高可用性(HA)構成 - DBFW 「はい」または「いいえ」

はいの場合は、プライマリ/セカンダリ・ファイアウォール・サーバーの数
DBFWのデプロイメント・モデル タイプごとのデプロイメントの数(存在する場合)
  • モニタリング/ブロック(プロキシ)
  • モニタリング(ホスト監視)
  • モニタリング(帯域外)
有効化されている監査ポリシーの数 統合監査ポリシーがプロビジョニングされているか。「はい」または「いいえ」
従来の監査ポリシーがプロビジョニングされているか。「はい」または「いいえ」
有効化されている事前定義済ポリシーの数
カスタム・ポリシーの数
デプロイされたDBFWポリシーとルール データベース・オブジェクト・ルールがあるポリシーの数
セッション・コンテキスト・ルールがあるポリシーの数
デフォルト・ルールがあるポリシーの数
SQL文ルールがあるポリシーの数
権限レポート スケジュールされているか。「はい」または「いいえ」
機密オブジェクトのジョブ スケジュールされているか。「はい」または「いいえ」
セキュリティ評価 スケジュールされているか。「はい」または「いいえ」?
アラート・ポリシーの数 有効化されているアラートの数
電子メール通知 アラート・ポリシーに対して有効化されているか。「はい」または「いいえ」
システム・アラートに対して有効化されているか。「はい」または「いいえ」
機密オブジェクトのアップロード ファイルをアップロードしたか。「はい」または「いいえ」
生成されたレポートの数 カテゴリごとの生成されたレポートの数
スケジュールされたレポートの数 カテゴリごとのスケジュールされたレポートの数
STIG 有効化されているか。「はい」または「いいえ」
TLS 有効化されているか。「はい」または「いいえ」
FIPS 有効化されているか。「はい」または「いいえ」
ストアド・プロシージャ監査 スケジュールされているか。「はい」または「いいえ」
秒当たりのイベントの数 秒当たりのイベントの数
ネットワークベースのストレージの使用 使用されているか。「はい」または「いいえ」
アーカイブ・ポリシー ターゲットに対して使用されているアーカイブ・ポリシー: オンラインおよびオフラインの月数。
バックアップ頻度 バックアップ頻度
AVSおよびDBFWサーバーのハードウェア構成(コア/RAM) AVSのハードウェア構成(コア/RAM)
合計メモリー領域(KB)
合計ディスク領域(バイト)
CPU使用率

関連トピック

5.11 Database Firewallでのカプセル化リモート・スイッチ・ポート・アナライザの構成

カプセル化リモート・スイッチ・ポート・アナライザを使用してSQLトラフィックをミラー化する場合のDatabase Firewallの構成方法を学習します。

カプセル化リモート・スイッチ・ポート・アナライザ(ERSPAN)は、1つ以上のソース・ポートからのトラフィックをミラー化し、ミラー化されたトラフィックを別のデバイス上の1つ以上の接続先ポートに配信します。

この機能により、Database Firewallは受信したSQLトラフィックを解釈できます。この機能は、Database Firewallのモニタリング(帯域外)デプロイメント・モードでのみ使用できます。

Database Firewallを使用したERSPANの構成には、次の高レベルのステップが含まれます。

  1. ERSPANソースまたはスイッチの構成。
  2. Database Firewallの構成

ERSPANソースまたはスイッチの構成には、次のステップが含まれます。

  1. モニター中のターゲット・データベースへのSQLトラフィックに及ぶようにネットワーク・デバイスまたはスイッチを構成します。

  2. ERSPANの構成時には、次の側面を考慮してください。

    • 分析が必要でないかぎり、データベース・レスポンス・トラフィックのスパニングを回避します。
    • 空のTCPパケットのスパニングを回避します。たとえば、空のACKパケットです。

  3. ERSPANトラフィックが、Database Firewallで構成されている適切なネットワーク・インタフェース・カード(NIC)に転送されていることを確認します。

この機能に対するDatabase Firewallの構成には、次のステップが含まれます。

  1. Database Firewallモニタリング・ポイントを、モニタリング(帯域外)モードでのみ構成します。

  2. ターゲット・データベースから予期されるSQLトラフィックのすべてのIPアドレスおよびポートをリストします。

    ノート:

    Oracle Real Application Clusterデータベースの場合、これはスキャンIPアドレスのみではありません。これには、関連するすべてのOracle RACノードも含まれます。

  3. Database Firewallモニタリング・ポイントを構成します。構成時、ERSPANトラフィックの転送先となるNICを選択します。

  4. Database Firewallは、デフォルトではERSPANトラフィックを処理しません。Database Firewallモニタリング・ポイントで有効にする必要があります。次のステップに従って有効にします。

    1. SSHを使用してDatabase Firewallにログインし、rootユーザーに切り替えます。

      「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

    2. /var/dbfw/vaディレクトリに変更します。
    3. Audit Vault Serverで構成されたターゲット名を検索して、Database Firewallモニタリング・ポイントを識別します。次のコマンドを実行します。
      grep -lr <TARGET NAME> *
    4. 構成ファイルの名前とパスが含まれる出力からモニタリング・ポイント番号を見つけます。たとえば: 1/etc/appliance.conf。この例で、1はモニタリング・ポイント番号です。
    5. 出力からターゲット・データベースのva番号も見つけます。これは、モニタリング・ポイント番号より前にあります(va/1/etc/appliance.conf)。

    6. ファイル/usr/local/dbfw/va/<N>/etc/appliance.confを編集して、Database Firewallモニタリング・ポイントでERSPANを有効にします(Nはモニタリング・ポイント番号、vaはターゲット・データベース番号)。

    7. ファイルで、設定DAM_TRAFFIC_IS_ERSPAN="0" to DAM_TRAFFIC_IS_ERSPAN="1"を編集します。
    8. 変更内容を保存します。
    9. 新しい構成が有効になるように、Database Firewallプロセスを再起動します。コマンド/usr/local/dbfw/bin/dbfwctl restartを実行して、再起動します。

  5. 受信したERSPANトラフィックを確認します。Database Firewallの/var/log/messagesファイルにアクセスします。文字列ODF-10524: Encapsulated protocol detectedに移動して見つけます。この文字列は、ERSPANトラフィックが最初に受信されたときに記録されます。

関連トピック